News

Seit Einführung der Datenschutzgrundverordnung müssen Verantwortliche gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden eine Datenpanne (Datenschutzvorfall) bei der zuständigen Aufsichtsbehörde melden.

Kategorie: Datenschutz

Unverzügliche Meldung eines Datenschutzvorfalls

Seit Einführung der Datenschutzgrundverordnung müssen Verantwortliche gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden eine Datenpanne (Datenschutzvorfall) bei der zuständigen Aufsichtsbehörde melden. Kritiker bemängelten immer wieder, dass diese Vorgabe gegen das Auskunftsverweigerungsrecht nach § 55 STPO verstößt. Auf diese berechtige Kritik, wollen wir aber in diesem Beitrag nicht weiter eingehen.

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Diese Verletzung besteht in jeder Verletzung der Sicherheit, die – gleich ob unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, welche übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Dies ist beispielsweise der Fall, wenn Hacker personenbezogene Daten abgreifen, wenn Daten falsch versendet werden oder wenn Datenträger wie USB-Sticks, Festplatten oder Notebooks mit personenbezogenen Daten verloren gehen oder gestohlen werden.

Konkret kann es sich dabei um folgende Vorfälle handeln:

  • Datenverlust durch ein verlorenes oder ein gestohlenes Medium
  • Fehlentsorgung
  • Fehlerhafte Löschung
  • Phishing
  • Cyberangriff
  • Sendungen an falsche Adressaten
  • Unberechtigte Weitergabe oder unberechtigter Zugriff Dritter
  • Ausspähen von Daten (Skimming)
  • Malware und Ransomware
  • Softwarefehler

Wann muss nicht gemeldet werden?

Die Meldung ist nicht vorzunehmen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Welches Risiko droht, ist auf Basis einer Gefahrenprognose im konkreten Einzelfall zu ermitteln, wobei wichtige Kriterien insbesondere die Art der betroffenen Daten (abstraktes Missbrauchsrisiko) und die konkreten potenziellen Auswirkungen der Datenschutzverletzung (konkretes Missbrauchsrisiko) sind.

Eine Risikoprognose erstellen

Darüber hinaus sind nach Art. 33 Abs. 1 DSGVO die Betroffenen auch zu benachrichtigen, wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Auch in diesem Fall ist also eine Risikoprognose erforderlich.

Wir beraten Sie und schulen Ihre Mitarbeitenden

Zusammenfassend kann man sagen, dass gut geschulte Mitarbeiter erforderlich sind, um eine Datenpanne überhaupt zuerkennen. Anschließend muss eine Risikoprognose vorgenommen werden, um zu prüfen, ob eine Meldung erforderlich ist. Strategisch ist es ratsam, lieber eine Datenpanne zu viel zu melden, weil man ansonsten unter Umständen in Erklärungsnot kommt, warum eine Meldung ausgeblieben ist und man so in den Fokus der Aufsichtsbehörden gelangt.

Sollten Sie noch weitere Fragen zu diesem und anderen Datenschutz-Themen haben, beraten wir Sie natürlich gerne.

Weitere Informationen zum Thema Datenpannen finden Sie hier:

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download